Niniejsza darmowa publikacja zawiera jedynie fragment pełnej wersji całej publikacji.

Transkrypt

1

2 Niniejsza darmowa publikacja zawiera jedynie fragment pełnej wersji całej publikacji. Aby przeczytać ten tytuł w pełnej wersji kliknij tutaj. Niniejsza publikacja może być kopiowana, oraz dowolnie rozprowadzana tylko i wyłącznie w formie dostarczonej przez NetPress Digital Sp. z o.o., operatora sklepu na którym można nabyć niniejszy tytuł w pełnej wersji. Zabronione są jakiekolwiek zmiany w zawartości publikacji bez pisemnej zgody NetPress oraz wydawcy niniejszej publikacji. Zabrania się jej od-sprzedaży, zgodnie z regulaminem serwisu. Pełna wersja niniejszej publikacji jest do nabycia w sklepie internetowym Salon Cyfrowych Publikacji epartnerzy.com.

3 Prawo do ochrony danych osobowych Standardy europejskie

4

5 Prawo do ochrony danych osobowych Standardy europejskie Mariusz Jagielski Warszawa 2010

6 Recenzent: Prof. dr hab. Andrzej Sylwestrzak Wydawca: Magdalena Przek Redaktor prowadzący: Joanna Cybulska Opracowanie redakcyjne: Jerzy Domagała Sk³ad, ³amanie: Marta Krysińska Copyright by Wolters Kluwer Polska Sp. z o.o., 2010 ISBN ISSN Wydane przez: Wolters Kluwer Polska Sp. z o.o. Redakcja Książek Warszawa, ul. Płocka 5a tel. (022) , (022) Kraków, ul. Zacisze 7 tel. (012) ksiazki@wolterskluwer.pl Księgarnia internetowa

7 Spis treści Wykaz ważniejszych skrótów... 7 Wprowadzenie... 9 Rozdział I Cele ochrony danych osobowych A. Ochrona jednostki B. Ochrona interesów zbiorowych C. Kontekst międzynarodowy Rozdział II Wyznaczenie zakresu ochrony danych osobowych A. Pojęcie danych osobowych B. Granice ochrony Rozdział III Zasady przewodnie A. Zasada rzetelności i legalności przetwarzania B. Zasada minimalizmu C. Zasada określoności celu D. Zasady dotyczące jakości danych E. Zagwarantowanie wpływu i kontroli osobie, której dane dotyczą F. Bezpieczeństwo danych G. Dane wrażliwe Rozdział IV Uprawnienia osoby, której dane dotyczą A. Zgoda osoby, której dane dotyczą B. Uprawnienia informacyjne podmiotu danych C. Uprawnienia co do wpływu na treść przetwarzania

8 Spis treści D. Prawo sprzeciwu wobec przetwarzania E. Prawa związane z podejmowaniem zautomatyzowanych decyzji F. Indywidualne środki prawne Rozdział V Mechanizmy kontrolne i nadzorcze A. Organy ochrony danych osobowych B. Monitorowanie procesu przetwarzania danych C. Uprawnienia dochodzeniowe i interwencyjne D. Rola postępowań prawnych E. Sankcje Rozdział VI Transgraniczny przepływ danych oraz ustalenie prawa właściwego i jurysdykcji A. Przekazywanie danych za granicę B. Prawo właściwe i jurysdykcja Konkluzje Bibliografia I. Literatura II. Orzecznictwo III. Akty prawne i dokumenty

9 Wykaz ważniejszych skrótów COM Dz. Urz. UE Dz. Urz. WE Dz. U. EC ed. eds. EEC Treaty ETPC ETS GATS GIODO hrsg. ICC IP Iss. OECD OJ OTK ZU red. SEC WE WIPO WP Dokumenty COM Komisji Europejskiej Dziennik Urzędowy Unii Europejskiej Dziennik Urzędowy Wspólnot Europejskich Dziennik Ustaw European Commission (Komisja Europejska) editor (pod redakcją) editors (pod redakcją) The Treaty establishing the European Economic Community Europejski Trybunał Praw Człowieka Europejski Trybunał Sprawiedliwości General Agreement on Trade in Services (Ogólny Układ w sprawie Handlu Usługami) Generalny Inspektor Ochrony Danych Osobowych herausgegeben (pod redakcją) International Chamber of Commerce (Międzynarodowa Izba Handlowa) Internet Protocol issue (wydanie) Organization for Economic Co-operation and Development (Organizacja Współpracy Gospodarczej i Rozwoju) Official Journal of the European Union Orzecznictwo Trybunału Konstytucyjnego Zbiór Urzędowy pod redakcją Dokumenty SEC Sekretariatu Generalnego Komisji Europejskiej Wspólnota Europejska World Intellectual Property Organization (Światowa Organizacja Własności Intelektualnej) Working Party (grupa robocza) 7

10 Wykaz ważniejszych skrótów WPZiB WSiSW WTO W3C Wspólna polityka zagraniczna i bezpieczeństwa Wymiar sprawiedliwości i sprawy wewnętrzne World Trade Organization (Światowa Organizacja Handlu) World Wide Web Consortium

11 Wprowadzenie 1. Uważa się, że początki prawnej ochrony danych osobowych sięgają drugiej połowy XIX wieku. Problematyka ta pojawiła się jako element wypracowanej w tym czasie koncepcji prawa do prywatności (the right to privacy) i przez pierwszych kilkadziesiąt lat swojego istnienia ewoluowała w podobny sposób. W ramach takiej właśnie konstrukcji ochrona danych osobowych ulegała stopniowej jurydyzacji i jako dobro jednostkowe uzyskała ochronę za pomocą instrumentów prawnych, głównie z zakresu prawa cywilnego. W ten sposób żądanie ochrony danych osobowych przybrało postać indywidualnego prawa podmiotowego o charakterze ochronnym, którego można było dochodzić przed sądem. W ramach procesu włączania prawa do ochrony prywatności w zakres konstytucyjnych praw człowieka ochrona danych osobowych zyskała także ochronę za pomocą instrumentów konstytucyjno-prawnych1. Ten stan rzeczy zaczął ulegać zmianie na przełomie lat 60. i 70. XX wieku. Czynnikiem, który doprowadził do wydzielenia się ochrony danych osobowych jako odrębnej dziedziny prawa, był rozwój technologiczny w zakresie przetwarzania informacji. Pojawienie się urządzeń pozwalających za pomocą metod o charakterze zautomatyzowanym na katalogowanie dużej ilości danych, ich swobodne zestawianie i opracowywanie, a także na zautomatyzowane wyszukiwanie jednostkowych informacji w zbiorach oraz ich przesyłanie na odległość, stworzyło nową sytuację. Z jednej 1 Na temat różnic między tymi dwoma modelami ochrony prywatności zob. bliżej R.E. Aebi-Müller, Personenbezogene Informationen in System des zivilrechtlichen Persönlichkeitsschutzes. Unter besonderer Berücksichtigung der Rechtslage in der Schweiz und in Deutschland, Bern 2005, s ; M. Kloepfer, Datenschutz als Grundrecht: Verfassungsprobleme der Einführung eines Grundrechts auf Datenschutz, Königsstein/Ts. 1980, s. 20 i n.; K. Lemmens, The Protection of Privacy between a Rights-Based and a Freedom-Based Approach: What the Swiss Example can teach us, Maastricht Journal of European and Comparative Law 2003, vol. 10, s ; F. Neunhoeffer, Das Presseprivileg im Datenschutzrecht. Eine rechtsvergleichende Betrachtung des deutschen und des englischen Rechts, 2005, s. 63 i n. 9

12 Wprowadzenie strony powstały nieznane dotychczas możliwości rozwoju takich dziedzin, jak działalność gospodarcza czy administracyjna, z drugiej zaś pojawiły się nowe zagrożenia, w tym istotne niebezpieczeństwo dla interesów jednostki, informacje na temat której miały być przetwarzane. Dotychczasowe rozwiązania prawne okazały się niewystarczające, należało stworzyć mechanizmy regulacyjne lepiej odpowiadające nowym wyzwaniom2. Cechą charakterystyczną procesu kształtowania się nowych mechanizmów ochrony danych osobowych był równoległy przebieg tego procesu na dwóch płaszczyznach: krajowej w poszczególnych państwach oraz międzynarodowej. Jeśli chodzi o płaszczyznę krajową, to pierwsza ustawa o ochronie danych osobowych została uchwalona w Hesji (kraju związkowym RFN) w 1970 r. Następna analogiczna regulacja pojawiła się w Szwecji (1973 r.), a potem w Republice Federalnej Niemiec na poziomie ogólnopaństwowym (1977 r.). Za tymi państwami szybko podążyły kolejne (Francja, Austria, Dania i Norwegia w 1978 r., Luksemburg w 1979 r.), tak że do końca dekady posiadanie ustawy o ochronie danych osobowych stało się standardem w Europie Zachodniej. W tym samym okresie specjalne postanowienia ochronne w zakresie ochrony informacji osobowych pojawiły się też po raz pierwszy w konstytucjach krajowych (konstytucja Portugalii w 1976 r., art. 35; Austrii w 1978 r., art. 1 ustawy o ochronie danych osobowych3, konstytucja Hiszpanii w 1978 r., art. 18)4. Na płaszczyźnie międzynarodowej prace toczyły się równolegle w ramach systemów Rady Europy oraz Organizacji Współpracy Gospodarczej i Rozwoju. Wymiar normatywny na tej płaszczyźnie ochrona danych zyskała po raz pierwszy na początku lat 70. w ramach systemu Rady Europy, gdy jej Komitet Ministrów przyjął dwie rezolucje: rezolucję 22 z 1973 r. o zasadach ochrony danych w sektorze prywatnym oraz rezolucję 29 z 1974 r. o zasadach ochrony danych w sektorze publicznym5. W tym samym czasie uznano konieczność opracowania bardziej szczegółowego 2 P.K. Donos, Datenschutz Prinzipien und Ziele. Unter besonderer Berücksichtigung der Entwicklung der Kommunikations- und Systemtheorie, Baden-Baden 1998, s ; B. Perovic, An analysis of the EC draft directive on data protection and its impact on the protection of privacy and the free movement of information, Florence 1993, s. 4 i n. 3 Artykuł ten nadał prawu do ochrony danych osobowych rangę prawa zasadniczego. Por. G. Stadler, Das Österreichische Datenschutzrecht (w:) G.J. Pawlikowsky (hrsg.), Datenschutz. Leitfaden & Materialien, Wien 1979, s Raport wyjaśniający do konwencji Rady Europy nr 108, pkt 5; H. Auernhammer, Bundesdatenschutzgesetz: Kommentar, KölnBerlinBonnMünchen 1993, s. 810; A. Di Martino, Datenschutz im europäischen Recht, Baden-Baden 2005, s Raport wyjaśniający do konwencji Rady Europy nr 108, pkt 4. 10

13 Wprowadzenie aktu w tym względzie o wiążącym charakterze6. Prace nad nim toczyły się przez całe lata 70. w ścisłej kooperacji z prowadzonymi w tym samym czasie analogicznymi pracami studyjnymi w ramach Organizacji Współpracy Gospodarczej i Rozwoju7. Te ostatnie zostały ukończone nieco wcześniej przyjęciem rekomendacji Organizacji Współpracy Gospodarczej i Rozwoju (OECD) z dnia 23 września 1980 r. w sprawie wytycznych regulujących ochronę prywatności i przepływ danych osobowych przez granice. Prace w ramach systemu Rady Europy przyjęły ostatecznie kształt konwencji Rady Europy nr 108 o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych. Została ona przyjęta i otwarta do podpisu 28 stycznia 1981 r., a weszła w życie cztery lata później 1 października 1985 r.8. Lata 80. przyniosły dalszy rozwój instrumentów ochronnych tak na płaszczyźnie krajowej, jak i ponadnarodowej. Kolejne kraje przyjmowały ustawy w tym zakresie (Islandia w 1981 r., Wielka Brytania w 1984 r., Finlandia w 1987 r., Irlandia i Holandia w 1988 r., Portugalia w 1991 r., Belgia, Szwajcaria i Hiszpania w 1992 r.). Kraje, które stosowne ustawy posiadały wcześniej, podnosiły poziom ochrony, natomiast Rada Europy przygotowywała kolejne rekomendacje dotyczące przetwarzania danych osobowych w poszczególnych dziedzinach. Zasadniczy ciężar wypracowywania nowych standardów zaczął się jednak stopniowo przenosić na płaszczyznę współpracy w ramach Wspólnot Europejskich. Pierwsze prace w tej dziedzinie w ramach struktur wspólnotowych rozpoczęły się jeszcze pod koniec lat 70.9, przyspieszeniu uległy jednak dopiero wraz z wejściem w życie w 1987 r. Jednolitego aktu europejskiego10, który deklarował powstanie wspólnego rynku, gwarantującego wolny przepływ towarów, usług i kapitału, a zwłaszcza traktatu z Maastricht z 1992 r.11, który założenia wspólnego rynku wprowadzał w życie. Dla ich urzeczywistnienia stało się konieczne wypracowanie jednolitych standardów ochrony danych osobowych na poziomie unijnym. Prace podjęte w tym zakresie ostatecznie przybrały postać dyrektywy Parlamentu Europejskiego i Rady 95/46/WE w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobod6 Tamże, pkt 12. Por. memorandum wyjaśniające do wytycznych OECD z 1980 r., pkt 18; raport wyjaśniający do konwencji Rady Europy nr 108, pkt 14 i H. Auernhammer, Bundesdatenschutzgesetz..., s Prace takie zapoczątkował w latach Parlament Europejski. 10 O.J. L 169, Traktat o Unii Europejskiej, wszedł w życie 1 listopada 1993 r. 7 11

14 Wprowadzenie nego przepływu tych danych. Została ona przyjęta 24 października 1995 r. i dała państwom członkowskim trzy lata na implementację jej postanowień na grunt prawa krajowego. Termin ów upłynął 24 października 1998 r.12. Od tego momentu możemy obserwować wielowątkowy, choć komplementarny rozwój rozwiązań z dziedziny ochrony danych osobowych zarówno na płaszczyźnie krajowej, jak i ponadnarodowej. Najważniejszym elementem tego procesu wydaje się być geograficzna ekspansja obszaru zastosowania europejskich standardów ochrony danych głównie13 w związku z procesami poszerzania Unii Europejskiej o nowe kraje, oraz dostosowywanie do wymogów europejskich mechanizmów ochrony danych w krajach chcących rozwijać stosunki gospodarcze z UE14. Nie ustały także prace koncepcyjne zmierzające w kierunku dostosowania ochrony do nowych wyzwań, związanych z ciągłym rozwojem technologicznym w dziedzinie przetwarzania informacji15. Ten ostatni proces został niemal w pełni umiędzynarodowiony i aktualnie wypracowywanie nowych mechanizmów ochrony odbywa się głównie w ramach współpracy na poziomie Rady Europy oraz Unii Europejskiej. Symbolicznym16 ukoronowaniem ochrony danych osobowych jako istotnego elementu systemu ochrony praw człowieka stało się wprowadzenie prawa do ochrony danych osobowych do Karty Praw Podstawowych Unii Europejskiej Ta krótka i z założenia schematyczna prezentacja rozwoju prawa ochrony danych osobowych18 pokazuje pewien szczególny rys procesu kształto12 A. Di Martino, Datenschutz..., s. 1819; B. Marcinkowski, Wpływ prawodawstwa unijnego na polską regulację ochrony danych osobowych (w:) I. Lipowicz (red.), Europeizacja administracji publicznej, Warszawa 2008, s ; S. Simitis, Data Protection in the European Union the Quest for Common Rules, Collected Courses of the Academy of European Law, Academy of European Law (ed.), vol. VIII, book 1, 2001, s Choć nie tylko. Włochy przyjęły odpowiednią ustawę dopiero w 1996 r., a Grecja w 1997 r. 14 O początkach ochrony danych w Polsce zob. B. Banaszak, Prawo do ochrony danych osobowych w Polsce (w:) T. Jasudowicz, C. Mik (red.), O prawach człowieka w podwójną rocznicę paktów. Księga pamiątkowa w hołdzie profesor Annie Michalskiej, Toruń 1996, s. 249 i n.; B. Marcinkowski: Wpływ..., s A. Di Martino: Datenschutz..., s Choć także praktycznym. Europejski Trybunał Sprawiedliwości niejeden raz traktował już art. 8 karty jako wskazówkę interpretacyjną. Por. wyrok ETS w sprawie C 540/03 Parlament v. Rada, ; wyrok ETS w sprawie C 432/05 Unibet, , pkt 37; wyrok ETS w sprawie C-303/05 Advocaten voor de Wereld, , pkt 46; wyrok ETS w sprawie C-402/05 i C-415/05 Kadi v. Rada i Komisja, , pkt Przyjęta 7 grudnia 2000 r., weszła w skład traktatu konstytucyjnego z 2004 r., a po zaniechaniu prób jego wprowadzenia w życie traktatu lizbońskiego z 2007 r. 18 Niektórzy porządkują ten rozwój, odwołując się do koncepcji kolejnych generacji rozwiązań z zakresu ochrony danych osobowych. W tym ujęciu wyróżnia się trzy generacje danych osobowych (por. H. Bäumler, Datenschutzgesetze der dritten Generation. Einleitung (w:) H. Bäumler, A. Von 12

15 Wprowadzenie wania się ochrony praw jednostki w związku z przetwarzaniem informacji osobowych na jej temat. Otóż proces ten różni się znacznie od sposobu kształtowania wcześniej wypracowanych praw i wolności człowieka. Prawa człowieka zwłaszcza te o charakterze osobistym i politycznym kształtowały się zazwyczaj na gruncie prawa wewnętrznego poszczególnych państw. Tam właśnie dochodziło do wypracowania wszystkich istotnych koncepcyjnie elementów ich konstrukcji, tam też następowało doktrynalne uznanie ich społecznej doniosłości oraz wreszcie tam dokonywał się proces ich jurydyzacji i konstytucjonalizacji. Dopiero gdy prawo lub wolność zyskiwało odpowiednią rangę na gruncie prawa konstytucyjnego wiodących państw, wówczas rozpoczynał się proces internacjonalizacji. Tak więc trafiało ono na poziom międzynarodowy już jako okrzepła koncepcja, z wypracowanymi założeniami teoretycznymi, mechanizmami ochrony i granicami. Wpływ rozwiązań międzynarodowych na takie prawa był raczej niewielki; istotne oddziaływanie rozwiązań wypracowywanych na poziomie międzynarodowym na praktykę ochrony praw człowieka to zjawisko stosunkowo niedawne, obejmujące ostatnie półwiecze. Internacjonalizacja stanowiła zatem gest bardziej o znaczeniu symbolicznym niż praktycznym. Z ochroną danych osobowych było inaczej. Prawo to pojawia się w okresie, gdy wpływ uzgodnień międzynarodowych na rozwój praw człowieka jest już znaczący. W efekcie możemy zaobserwować równoległe wypracowywanie koncepcji ochrony jednostki w tym zakresie tak na poziomie krajowym, jak i ponadnarodowym. Istotnym czynnikiem wpływającym na wzmocnienie znaczenia płaszczyzny międzynarodowej w ramach tego procesu jest obserwowany współcześnie rozwój współpracy międzynarodowej we wszystkich w zasadzie dziedzinach aktywności państwa. W konsekwencji wszędzie tam, gdzie współpraca wiąże się z przesyłaniem informacji osobowych, znaczenie uzgodnień międzynarodowych jest bardzo duże19. Widoczne jest to szczególnie w Europie, gdzie współpraca ta Mutius (hrsg.), Datenschutzgesetze der dritten Generation, Neuwied, Kriftel 1999, s. 19), lub cztery (U. Brühann, Die Anforderungen der Europäischen Datenschutzrichtlinie (w:) H. Bäumler, A. Von Mutius (hrsg.), Datenschutzgesetze der dritten Generation, Neuwied, Kriftel 1999, s. 1112; A. Di Martino, Datenschutz..., s. 3334; V. Mayer-Schönberger, E.O. Brandl, Datenschutzgesetz. Grundsätze und europarechtliche Rahmenbedinungen Gesetzestext mit Materialien Datensuchutz-Verordnungen und Rechtlinien im Anhang, Wien 2006, s. 23). Przy czym kryterium podziału odzwierciedla z jednej strony proces ekspansji ochrony na kolejne obszary prawa: legislacja, konstytucjonalizacja, internacjonalizacja, europeizacja, zaś z drugiej rozwój technik przetwarzania i instrumentów ochronnych. 19 Por. E. Wanckel, Persönlichkeitsschutz in der Informationsgesellschaft. Zugleich ein Beitrag zum Entwicklungsstand des allgemeinen Persönlichkeitsrechts, Frankfurt am MainBerlinBernNew York ParisWien 1999, s

16 Wprowadzenie została zinstytucjonalizowana w ramach procesu integracji kontynentu. A zatem nawet jeśli formalnym zwieńczeniem uznania wagi problematyki ochrony danych osobowych w ramach porządku konkretnego kraju jest jej konstytucjonalizacja, czyli wprowadzenie ochrony danych osobowych do konstytucyjnego katalogu praw człowieka, to nadanie konkretnych treści postanowieniom konstytucji stanowi dziś w dużym stopniu efekt pracy na poziomie międzynarodowym i europejskim. Tak więc nie można w sposób właściwy przedstawić obowiązujących współcześnie zasad ochrony jednostki w związku z przetwarzaniem danych osobowych na jej temat, nie uwzględniając wypracowanych w tym zakresie standardów międzynarodowych i europejskich. Przedstawienie owego ponadnarodowego dorobku zarówno doktrynalnego, jak i normatywnego stanowi cel niniejszej pracy. Przy czym ramy opracowania wyznaczają dwa ograniczenia. Po pierwsze nie jest moją ambicją pokazanie całości problematyki ochrony danych osobowych w aktach międzynarodowych i wspólnotowych. Rozwój cywilizacyjny prowadzi do szybkiego rozwoju tej dziedziny, obejmuje ona coraz to nowe materie i w konsekwencji staje się przedmiotem zainteresowania różnych dziedzin prawa. Praca niniejsza pisana jest z perspektywy doktryny praw człowieka i prawa konstytucyjnego, dlatego koncentruje się ona na kwestiach sposobu ochrony jednostki w związku z przetwarzaniem danych osobowych. Poszczególne materie analizowane są właśnie z takiej podmiotowej perspektywy. W efekcie sposób przedstawienia tych materii, a także ich zakres i stopień szczegółowości uzależnione są od wpływu, jaki wywierają one na pozycję jednostki. Po drugie celem niniejszej pracy jest przedstawienie głównego nurtu rozwiązań z zakresu ochrony danych osobowych. Chodzi o rozwiązania standardowe, znajdujące zastosowanie z założenia do nieokreślonego adresata i do nieokreślonych przedmiotowo materii. Mówimy tu zatem o dziedzinie, która ugruntowała już sobie miejsce pośród innych gałęzi prawa jako prawo ochrony danych osobowych. Poza zakresem pracy pozostają natomiast rozwiązania szczególne wypracowane dla specyficznych obszarów przetwarzania danych, takich jak bezpieczeństwo państwa, ochrona porządku publicznego, prawo finansowe, prawo pracy, prawo telekomunikacyjne czy ochrona zdrowia. Będą one uwzględnione w takim stopniu, w jakim stosuje się do nich rozwiązania ogólne oraz w jakim ich prezentacja będzie istotna dla właściwego ukazania zasadniczego nurtu prawnej ochrony jednostki w omawianym zakresie. 14

17 Wprowadzenie W tym miejscu wyjaśnienia wymaga podtytuł pracy standardy europejskie. Jak powiedziano wcześniej, mechanizm ochrony danych osobowych kształtował się na płaszczyźnie co najmniej trzech systemów prawnych: Organizacji Współpracy Gospodarczej i Rozwoju, Rady Europy oraz Unii Europejskiej. Pewne znaczenie dla jego wypracowania ma też system prawny Organizacji Narodów Zjednoczonych. Praca zbiera dorobek wypracowany na gruncie wszystkich tych systemów, starając się uporządkować go, dokonać jego generalizacji i wyciągnąć wnioski na temat zastosowanych mechanizmów ochrony jednostki. Określenie europejski ma zatem charakter umowny. Odzwierciedla jednak wkład, jaki do wypracowania standardów ochrony jednostki w omawianym zakresie wniosły prace prowadzone na naszym kontynencie można go bez wątpienia określić jako dominujący. Jednocześnie określenie to akcentuje znaczenie, jakie w zakresie ochrony danych osobowych odgrywa aktualnie prawo europejskie, nie zawężając tematyki pracy do tego tylko systemu prawnego. Podstawowymi dokumentami, które w ramach tego opracowania zostaną poddane analizie, będą: 1. Rekomendacja Organizacji Współpracy Gospodarczej i Rozwoju (OECD) z dnia 23 września 1980 r., w sprawie wytycznych regulujących ochronę prywatności i przepływ danych osobowych przez granice (dalej: wytyczne OECD z 1980 r.). 2. Konwencja nr 108 Rady Europy o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych (dalej: konwencja Rady Europy nr 108). 3. Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (dalej: dyrektywa 95/46). W celach porównawczych uwzględnione zostały także wytyczne Organizacji Narodów Zjednoczonych w sprawie regulacji skomputeryzowanych zbiorów danych osobowych20 (dalej: wytyczne ONZ z 1990 r.). Rzecz jasna opracowanie nie ogranicza się do analizy tylko tych aktów prawnych. Bardzo ważną rolę w zakresie interpretacji tych aktów odgrywają dokumenty wyjaśniające do nich. W szczególności chodzi o memorandum wyjaśniające do wytycznych OECD z 1980 r. oraz raporty wyjaśniające do konwencji Rady Europy nr 108 (do podstawowego jej tekstu z 1980 r. oraz do proto20 Rezolucja 45/95 Zgromadzenia Ogólnego Narodów Zjednoczonych z dnia 14 grudnia 1990 r. 15

18 Wprowadzenie kołu dodatkowego do konwencji dotyczącego organów nadzoru i transgranicznych przepływów danych z 2001 r.). W zakresie interpretacji dyrektywy 95/46 duże znaczenie mają dokumenty Komisji Europejskiej oraz grupy roboczej ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych, powołanej na podstawie art. 29 dyrektywy 95/46 (dalej: grupa robocza). Nie można zapominać także o orzecznictwie, zwłaszcza Europejskiego Trybunału Praw Człowieka oraz Europejskiego Trybunału Sprawiedliwości. Na zakończenie dla pokazania całości problematyki należy dołączyć do powyższego także wybrane rekomendacje Komitetu Ministrów Rady Europy oraz niektóre inne niż dyrektywa 95/46 dyrektywy europejskie odnoszące się do ochrony danych osobowych. Wszystkie te elementy zostaną uwzględnione w niniejszym opracowaniu. 3. Praca przedstawia zatem te podstawowe rozwiązania z zakresu ochrony danych osobowych, które wyznaczają sytuację jednostki w związku z przetwarzaniem informacji na jej temat. W celu właściwego ukazania tej sytuacji omówione zostaną następujące zagadnienia: Po pierwsze należy ustalić, jakie znaczenie ma ochrona jednostki w ramach prawa ochrony danych osobowych. Aby zrealizować to zadanie, akty prawne wyznaczające standardy ochrony danych osobowych zostaną przeanalizowane pod kątem celów, jakie stawia się rozwiązaniom prawnym w tej dziedzinie prawa. Zobaczymy, jakie miejsce w ich ramach zajmuje ochrona jednostki, a także jak jest ona skonstruowana na płaszczyźnie aksjologicznej. Szczególne znaczenie ma tu ustalenie, które prawa jednostki potraktowane są jako przedmiot ochrony w kontekście ochrony danych osobowych. Zobaczymy też, jakie cele są uznane za konkurencyjne w stosunku do ochrony jednostki. Po drugie wyznaczony zostanie zakres ochrony jednostki w ramach ochrony danych osobowych. Kluczowe znaczenie ma tutaj zdefiniowanie pojęcia dane osobowe. Dowiemy się więc, jakie warunki muszą być spełnione, aby dane podlegały ochronie. Dowiemy się także, jak ukształtowane są aksjologiczne granice ochrony danych, a zatem jak na poziomie europejskim próbuje się kształtować relacje pomiędzy ochroną danych osobowych a konkurencyjnymi względem niej wartościami, takimi jak bezpieczeństwo państwa, ochrona porządku publicznego czy też inne prawa i wolności, w szczególności powiązane z ochroną danych osobowych przedmiotowo: swoboda wypowiedzi oraz prawo do informacji. Dla zobrazowania pozycji podmiotu danych w ramach ochrony danych osobowych konieczne jest przedstawienie zasad przewodnich ochrony da16

19 Wprowadzenie nych osobowych. Pewną trudność w tym względzie powoduje fakt, że dotychczas nie został wypracowany powszechnie uznany katalog tych zasad. Poszczególne akty różnią się zarówno co do sposobu jego ukształtowania, jak też zasad, które wymieniają; różnymi katalogami operuje też doktryna. W tej sytuacji, przy uwzględnieniu pewnych wypracowanych w tym względzie generalnych schematów, zastosowany w pracy układ zasad został podporządkowany celowi opracowania. I tak kolejno zaprezentowane będą zasady: rzetelności i legalności przetwarzania, minimalizmu, określoności celu przetwarzania, zasady co do jakości danych, zagwarantowania wpływu i kontroli osobie, której dane dotyczą, zasady co do bezpieczeństwa danych oraz co do uznania pewnych kategorii danych za szczególnie godne ochrony (wrażliwe). Zasadnicze znaczenie dla problematyki ochrony jednostki w związku z przetwarzaniem danych osobowych ma kwestia podmiotowych uprawnień, jakie są zagwarantowane podmiotowi danych w zakresie ochrony. Praca analizuje wszystkie formy wpływu i kontroli przewidziane przez akty na poziomie międzynarodowym i europejskim. W pierwszej kolejności jest to zgoda osoby, której dane dotyczą, następnie uprawnienia informacyjne gwarantujące wpływ na treść przetwarzania i związane z podejmowaniem zautomatyzowanych decyzji, wreszcie indywidualne środki prawne. Rozdział kolejny poświęcony został tym rozwiązaniom, które wprawdzie bezpośrednio nie są ukierunkowane na ochronę jednostki, ale pośrednio w ten właśnie sposób oddziałują. Chodzi tutaj o mechanizmy nadzorcze i kontrolne, realizowane przez organy ochrony danych osobowych i sądy. Szczególnie te pierwsze mają istotne znaczenie w ramach koncepcji ochrony danych osobowych, gdyż tworzą najszybszą ścieżkę reagowania na ewentualne nieprawidłowości w ramach procesów przetwarzania. Tak więc praca ukazuje paneuropejskie wymogi co do wprowadzenia mechanizmów nadzorczych (procedury notyfikacyjne i rejestracyjne, uprawnienia dochodzeniowe i interwencyjne), jak też współuczestnictwo w tym zakresie organów sądowniczych (procedury prawne i sankcje). Ostatnia część pracy poświęcona jest zagadnieniu transgranicznego przesyłania informacji osobowych oraz ustaleniu prawa właściwego i jurysdykcji. Formalnie problematyka ta powinna zostać uwzględniona w ramach wcześniejszych rozdziałów (przekazywanie danych osobowych za granicę w ramach prezentacji zasad ochrony danych osobowych oraz uprawnień podmiotów danych i organów nadzorczych, natomiast kwestia prawa właściwego i jurysdykcji jako element wyznaczenia granic obo17

20 Wprowadzenie wiązywania ochrony danych osobowych). Taki podział tej problematyki byłby jednak niekorzystny z co najmniej dwóch względów. Po pierwsze ze względu na specyfikę aktów określających standardy ochrony danych osobowych czyli ich międzynarodowego i europejskiego charakteru problematyce tej poświęcają one nieproporcjonalnie dużo miejsca. Prezentacja tych zagadnień w ramach omawiania konkretnych rozwiązań ochronnych wypaczałaby zatem istotę tych rozwiązań, tworząc mylne wrażenie, że zostały one opracowane głównie dla zapewnienia ochrony w kontekście międzynarodowym. Po drugie funkcjonalne podzielenie materii objętych omawianym rozdziałem pomiędzy różne części pracy utrudniałoby ukazanie spójności tych rozwiązań, a w szczególności właściwe ukazanie mechanizmu, jaki został opracowany dla ochrony interesów jednostki w tym zakresie. Dlatego też mimo świadomości pewnej niedoskonałości tego zabiegu zdecydowałem, aby problematykę przekazywania danych za granicę oraz ustalenia prawa właściwego i jurysdykcji wydzielić i uwzględnić w odrębnej, końcowej części pracy. Zakończenie pracy jest w istocie podsumowaniem analiz przeprowadzonych w jej ramach. Zawiera wnioski oraz zbiorcze przedstawienie najważniejszych cech koncepcji i mechanizmów zastosowanych w celu ochrony jednostki w związku z przetwarzaniem danych osobowych na jej temat. 4. Na koniec kilka uwag o charakterze redakcyjnym. W opracowaniu używam określenia Komisja Europejska, mimo że oficjalna nazwa tego organu brzmi: Komisja Wspólnot Europejskich. Określenie to jest jednak powszechnie przyjęte i zrozumiałe. W przypadku aktów i dokumentów powstałych oryginalnie w językach obcych posługuję się ich tłumaczeniami na język polski zawartymi w Dzienniku Ustaw, a w przypadku aktów i dokumentów europejskich tłumaczeniami zamieszczonymi na stronie internetowej Urzędu Oficjalnych Publikacji Wspólnot Europejskich EUR-Lex Wspólnoty Europejskie, Wersje takie określam mianem oficjalne. Tam gdzie uznałem, że polskie tłumaczenie nie oddaje istotnych elementów danego rozwiązania, zamieszczam tłumaczenie własne z dopiskiem tłumaczenie moje. Chcąc ująć w jednym wyrażeniu akty prawne z systemu OECD, Rady Europy i prawa europejskiego, które omawiają standardy ochrony danych osobowych, używam określeń prawo międzynarodowe i europejskie lub prawo ponadnarodowe. Zdając sobie sprawę z prawnej nieprecyzyjności powyższych określeń, posługuję się nimi jako najlepiej oddającymi isto18